Novos desafios sobre a proteção de dados

A Revista Pontos de Vista conversou com Jorge Martinez Batalha, Mestre em Segurança de Informação e Direito no Ciberespaço, onde ficamos a conhecer um pouco mais sobre a importância da Cibersegurança e do Novo Regulamento de Proteção de Dados. Venha conhecer estes temas nas palavras de um especialista na matéria.

341

Muitas dúvidas ainda pairam sobre as novas normas europeias que entraram em vigor a 25 de maio. Nomeadamente no que diz respeito à videovigilância e o Novo Regulamento de Proteção de Dados (RGPD), as normas são claras?

Em primeiro lugar importa referir que existe muita desinformação. Relativamente à videovigilância, ficou claro já não ser necessário pedir autorização e pagar qualquer taxa à Comissão Nacional de Proteção de Dados (CNPD) para implementar ou alterar um sistema de videovigilância. No entanto, uma entidade pública ou privada que o pretenda fazer tem agora de avaliar se está a cumprir o RGPD e ter capacidade de demonstrar que o cumpre. Ora, isso não é tarefa fácil sem orientação adequada. Também por essa razão, tal como defendi na minha dissertação de mestrado sobre esta temática, é premente a produção de uma lei geral sobre a utilização de sistemas de videovigilância em Portugal.

No âmbito do cumprimento do RGPD o que muda no tratamento de dados pessoais com recurso a sistemas de videovigilância, assim como sobre o controlo de acessos e de assiduidade com recurso ao tratamento de dados biométricos?

Em espaços privados, a videovigilância apenas pode ter como finalidade a proteção de pessoas e bens. Isso não mudou. Por outro lado, à partida, é proibido o tratamento de dados biométricos, visto que o RGPD passou a incluir estes dados nas categorias de dados especiais, ou seja, no denominado grupo de dados sensíveis. Este grupo engloba, por exemplo, dados relativos à saúde, como ainda, dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas. Como os dados são sensíveis, as regras são mais apertadas, mas já o eram anteriormente. No entanto, o RGPD prevê que os Estados-Membros possam legislar no sentido de autorizar o tratamento de dados biométricos, particularmente em contexto laboral. Falta a publicação da legislação que se encontra em fase de apreciação no parlamento e que indicia vontade de permitir o tratamento de dados biométricos com a finalidade de controlo de acessos e de assiduidade. Importa ainda não esquecer a clarificação dos limites a impor aos responsáveis pelo tratamento e, por outro lado, em contexto laboral, há que acautelar a impossibilidade de interconexão de dados biométricos com dados obtidos com recurso a sistemas de videovigilância.

O controlo no local de trabalho de diferentes formas, desde o GPS ao controlo de utilização das TIC, passando pela videovigilância e pela biometria estão entre o conjunto de motivos que levam os portugueses a reclamarem mais junto da Comissão Nacional de Proteção de Dados (CNPD), assim como a utilização indevida ou sem consentimento de dados pessoais. Que principais desafios enfrentam agora as empresas de segurança privada relativamente à videovigilância?

Tomar medidas para que não se justifique a apresentação de reclamações por parte dos titulares dos dados, sejam estes, clientes, trabalhadores ou outros, é um dos principais objetivos que estabeleço nas entidades onde desempenho funções de Consultor ou Encarregado da Proteção de Dados. Relativamente às empresas de segurança privada, para além das denominadas empresas instaladoras de sistemas de segurança, como é o caso da videovigilância, sendo entidades subcontratadas, passam a ter maior responsabilidade em caso de incumprimento do RGPD. É agora necessário estabelecer cláusulas contratuais específicas perante os seus clientes, vinculando estas entidades ao cumprimento das novas regras impostas pelo RGPD. Este passo, para além dos procedimentos que têm de ser adotados internamente para cumprir os contratos assumidos, constituem os principais desafios.

Nós, comuns cidadãos, o que precisamos de saber? A formação e informação é suficiente para todos (colaboradores das empresas e cidadãos)?

Há um longo caminho a percorrer. Precisamos todos de saber que temos direitos em matéria de proteção de dados pessoais. Cabe à CNPD divulgar informação de forma clara para todos entenderem as matérias em causa. Cabe igualmente aos responsáveis das entidades públicas ou privadas a formação dos seus trabalhadores, não só para demonstrar transparência como para evitar eventuais sanções por tratamentos ilícitos.

Na sua investigação, “Novos desafios sobre a proteção de dados”, faz referência à necessidade de existir um cuidado especial das entidades públicas e privadas na formação, informação e consciencialização dos colaboradores para o cumprimento rigoroso dos direitos dos titulares dos dados pessoais. Este é o ponto fulcral, a formação e preparação do humano?

Efetivamente, é esse o caminho. Se forem criados procedimentos internos, mas os trabalhadores que possam ter parte ativa nos diversos tratamentos de dados não receberem formação para os seguir e não os souberem interpretar adequadamente, esses procedimentos nunca serão cumpridos. Há ainda que informar e consciencializar, de forma contínua, para que os objetivos previamente estabelecidos sejam atingidos.

PERFIL | Jorge Martinez Batalha

Mestre em Segurança de Informação e Direito no Ciberespaço

Investigador do CICPRIS em Proteção de Dados Pessoais

Consultor-Formador

Encarregado da Proteção de Dados (DPO)